• Register
    • Login
    • Search
    • Recent
    • Users
    • חיפוש גוגל בפורום
    • צור קשר

    תנאי שימוש

    תנאי שימוש

    פריצת WiFi, המדריך למתחילים

    מדריכים
    1
    1
    176
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • sh774
      sh774 last edited by

      1925d9f9-665b-40f3-a7ac-b03e8211ee21-image.png
      לרוב, כשנערים צעירים מתחילים להתעניין בעולם ההאקינג ואבטחת המידע, טורדת את מנוחתם שאלה אחת בלבד: לא מה זו כתובת IP, לא כיצד האינטרנט עובד, לא האם פייתון זה לא רק סוג של נחש ולא מהי הסלמת הרשאות והאם היא קשורה למונח 'הסלמה בדרום' שאומרים מידי פעם בטלוויזיה. רק שאלה אחת מטרידה אותם: איך פורצים לWiFi? וזו כמובן טעות, טעות איומה. כי לא מתחילים מהמדרגה הארבעים, מהחלק הפחות חשוב במסלול הלמידה של בודק חדירויות ורק אז מתחילים להבין מה זה בכלל מחשב, חוזרים למדרגה הראשונה. אבל בכל-זאת, לאותם אלה שכבר הגיעו למדרגה ה39 וכעת רוצים להתחיל לעלות במדרגות של הקומה השנייה, נושא פריצת רשתות אלחוטיות הוא נושא מרתק שחשוב וכדאי ללמוד ומדריך זה מיועד עבורם.

      בשורות הבאות אסקור את נושא פריצת הwifi למתחילים, מא' ועד ת', החל מהסבר מקיף על טכנולוגיות ההצפנה של wifi שהולכות ומשתדרגות כל הזמן ועד להסבר הפריצה בפועל של כלל הטכנולוגיות, החל מפריצת רשתות wifi המשתמשות בפרוטוקול Wired Equivalent Privacy המחורר (פרוטוקול WEP) ועד לפריצת רשתות המשתמשות בפרוטוקול Wi-Fi Protected Access בגרסתו המעודכנת ביותר – WPA3.

      חשוב להדגיש שהמדריך מיועד אך ורק עבור האקרים אתיים, אנשי הגנת סייבר ועבור העלאת המודעות בקרב אזרחים לסכנות האפשריות של פריצה לרשת הWiFi שלהם. חל איסור מוחלט לבצע פעולה בלתי חוקית בעזרת מדריך זה וכל פעולה לא חוקית שתתבצע הינה על אחריותו הבלעדית של המבצע שצפוי לספוג עונשים כבדים. ובנימה אישית: באמת שלא כדאי לכם לבצע פעולה בלתי חוקית בעזרת המדריכים שבאתר (וכן, לפרוץ לwifi של השכנים זו פעולה בלתי חוקית), בקלות מאד גדולה יהיה ניתן לאתר אתכם והעונשים על הדברים הללו כבדים מאד ויכולים להגיע עד לכדי מאסר.

      מכיוון שעבור רחרוח הרשתות עם מכונה הוירטואלית שלנו לא נוכל להסתפק בכרטיס הWiFi המובנה במחשב (הסיבה לכך היא שכרטיס הWiFi המובנה שבמחשב הנייד שלנו לא תומך במצב 'monitoring' שמאפשר האזנה לחבילות מידע שמגיעות גם מחוץ לרשת שלנו, אלא רק בחבילות שמיועדות עבורנו. עבור פריצת רשתות אחרות, אנו צריכים כמובן להיות מסוגלים להאזין לחבילות המידע שהן שולחות ועל כן נצטייד במתאם WiFi רלוונטי)/ עבור תרגול מדריך זה עליכם להצטייד במתאם WiFi חיצוני, רצוי של ALFA. שימו לב שע"מ שתוכלו לפרוץ גם לרשתות הפועלות בתדרים של 5Ghz (תדר שהופך לפופולארי יותר ויותר) ולא רק לרשתות הפועלות בתדרים של 2.4Ghz, עליכם לוודא שהמתאם שאתם רוכשים תומך ב5Ghz. לקריאת ההבדלים בין התדרים ומשמעותם, לחצו כאן.

      שני דגמי הALFA המומלצים לשימוש, בשני התדרים:
      51f65ecd-d2c6-4bfd-b270-65911790f16c-image.png אז כשלב ראשון, בואו נדבר על מה זה WiFi. כשאנו מעוניינים ליצור תקשורת עם רשת האינטרנט, אנו צריכים להתחבר לנתב הביתי שלנו, שבתורו מעביר את בקשת התקשורת וקבלת המידע לנתב של ספקית האינטרנט, שבתורו מעביר את המידע הלאה, עד לנתב של השרת ממנו אנו רוצים לקבל מידע. עבור כך, בעבר, היינו צריכים להתחבר בכבל לנתב שלנו ודרך אותו כבל להעביר את המידע. החל מ1971 החל רעיון הWiFi לקרום עור וגידים, כאשר בשנה זו חיברה ALOHAnet את איי הוואי ברשת מנות אלחוטיות, באותו זמן פרוטקול Ethernet ופרוטוקול IEEE 802.11 לא היו קיימים והשימוש נעשה בפרוטוקולים אחרים, אך תאריך זה נחשב לתחילת רעיון הWiFi. עם-זאת, הwifi כפי שאנו מכירים אותו היום החל את דרכו ב1991, אז נוצר פרוטוקול IEEE 802.11 בהולנד, עבור מערכות קופאיות. בשנת 1997 החל השימוש המעשי בפרוטוקול עבור סיפוק תקשורת אינטרנט והופצה גרסתו הראשונה שאז סיפקה עד כ2 מגה ביט בלבד.

      למעשה, WiFi שולח את הנתונים שהיינו צריכים להעביר בעבר לנתב שלנו דרך כבל, גם דרך האוויר, בעזרת גלי רדיו. זו אומנם פעולה נוחה בהרבה שאפשרה את מהפכת האינטרנט הנגיש, הסמארטפונים ומוצרי הIOT, אך תחשבו על כך, כעת, כשהמידע שלנו עובר דרך האוויר, גם אם המידע הזה לא שלנו ומישהו אחר 'העביר אותו באוויר', אנו יכולים לרחרח אחריו ולתפוס אותו. כבר לא מדובר במידע שעובר לנתב מהמחשב שלנו דרך כבל ספציפי ואף אחד לא יכול לתפוס אותו, אלא במידע שעובר בצורה ציבורית לנתב שלנו, מה שיוצר סיכון אבטחה בגינו נצרכנו בשימוש בפרוטוקול HTTPS, שהופך את התעבורה שלנו למוצפנת. אחרת, אם היינו גולשים לחשבון הפייסבוק שלנו במסעדה או באוטובוס, כל שאר הנוכחים במקום היו יכולים לתפוס את חבילת המידע בה שלנו לפייסבוק את הפרטים שלנו, לקרוא אותה ולגנוב לנו את פרטי ההזדהות. זו הסיבה שהעדיפות שלכם תמיד צריכה להיות לא לגלוש בwifi ציבורי, במקרה כזה – כולם יכולים לדעת מה הן הרגלי הגלישה שלכם, היכן ביקרתם ובמקרה של אתרים לא מאובטחים, גם את הסיסמאות שלכם.

      לפני שנעבור לשלב חיבור המתאם האלחוטי שלנו ועל מנת שלא נצטרך בכל פעם להשתמש בפקודת הsudo, וודאו שאתם רצים תחת הרשאות root, אחרת – פשוט שנו את ההרשאות שלכם להרשאות root בעזרת הפקודה sudo su. כעת, לאחר שביצעתם את 2 הפעולות הללו, נעבור לחיבור מתאם הרשת. הפעילו את מכונת הLinux שלכם, לחצו על לשונית הDevices בתפריט המכונה הווירטואלית (אני מבצע את ההדגמה על virtual box), לחצו על אופציית הUSB ושימו לב אלו חיבורים מופיעים לכם:
      f8b8979d-50b1-4ed2-8721-a2cc41c9a1af-image.png כעת, חברו את מתאם הWiFi. אם נוסף לכם לרשימת חיבורי הUSB חיבור נוסף, מצוין. לחצו עליו:
      3677eb40-8a98-4858-83c5-101596c59576-image.png כעת, לאחר שחיברנו את מתאם הWiFi שלנו, נפתח את מכונת הLinux שלנו ונריץ את הפקודה: iwconfig. פקודה זו (קיצור של interface wireless config) תציג לנו מידע על הרשתות האלחוטיות שפעילות ברשת שלנו. אם קודם לכן ראינו 0 רשתות, כעת אנו רואים את הרשת שיצר המתאם האלחוטי שחיברנו. עם-זאת, שימו-לב, מצב כרטיס הרשת מוגדר כManaged, בעוד אנו צריכים לעבור למצב monitoring ע"מ שנוכל ללכוד את חבילות המידע:
      5d02d050-612d-4286-88d1-3c15044e4f3c-image.png בהתאם לכך, נשנה את מצב כרטיס הרשת למצב האזנה בעזרת הפעולות הבאות (אם שם הרשת שלכם הוא לא wlan0, שנו את הפקודות בהתאם. את שם הרשת תוכלו לראות כאמור בפלט של הפקודה iwconfig):

      נהרוג תהליכים בעיתיים בעזרת הפקודה: airmon-ng check kill (זוהי אינה פקודת חובה, אך מומלצת מאד)
      נכבה את כרטיס הרשת בעזרת הפקודה: ifconfig wlan0 down
      נפעיל את מצב הmonitoring בעזרת הפקודה: iwconfig wlan0 mode monitor
      נפעיל בחזרה את כרטיס הרשת בעזרת הפקודה: ifconfig wlan0 up

      כעת, אם נריץ שוב את הפקודה iwconfig, נראה שכרטיס הרשת שלנו רץ במצב monitor. יש לציין כי בזמן שנהיה במצב monitor לא נוכל לגשת לאינטרנט דרך מכונת הKali לה מחובר כרטיס הרשת ועליכם לקחת זאת בחשבון
      d1fd9733-9bce-43f6-bcef-1264bca8281f-image.png כיצד נוכל להתחיל לרחרח? עבור כך, נשתמש בכלי airodump-ng. כלי זה משמש ללכידת חבילות מידע שעוברות בפרוטוקול 802.11 (כזכור, פרוטוקול הwifi). הוא מגיע built-in בkali ונריץ אותו בצורה פשוטה בעזרת הפקודה הבאה: airodump-ng wlan0. והנה, מתאם הWiFi מתחיל בהאזנה לרשתות שבסביבה:
      f0fe1cea-e9c4-4122-8784-f6cde65d8e18-image.png
      בואו ננתח את העמודות בפלט שמציג לנו airodump-ng, נתחיל מהעמודה השמאלית ביותר. BSSID זוהי העמודה שמכילה את המזהים של נקודת הגישה או הנתב של הרשת לה אנו מאזינים. אם תרצו, את כתובת הMAC של נקודת הגישה, כתובת שמורכבת מ6 בתים (48 ביטים). PWR מייצג את עוצמת האות של הרשת האלחוטית, וככל שהמספר גבוה יותר, כך הרשת חזקה יותר (לדוגמא, במקרה שלנו, הרשת בעלת המספר 38- היא הרשת לה האות הגבוה ביותר במיקום שלנו, שכן המינוס בה הוא יותר קטן. אגב, אות שיוכל לאפשר עבודה סבירה ברשת הוא עד 60-). Beacons מייצג את הודעות הbrodcat שכל רשת שולחת ע"מ להודיע על קיומה לסביבה (גם אם היא רשת נסתרת, בהמשך נדבר על כך). DATA# מייצג את מספר החבילות שהגיעו מהרשת, זהו שדה מאד חשוב שיסייע לנו בביצוע התקיפה. s/# מייצג את מספר החבילות שהגיעו מהרשת רק בעשר השניות האחרונות. CH מייצג את הערוץ עליו עובד הרשת (ערוץ קובע את התדר המדויק בו יעברו גלי הרדיו וככל שישנם יותר רשתות ומכשירים על אותו ערוץ., כך הוא איטי יותר). לדוגמא, אנו רואים שהרשת Library עובדת על ערוץ מספר 7 והרשת Daniel עובדת על ערוץ מספר 11. השדה הבאה, עמודת הMB מייצגת את המהירות המרבית הנתמכת ע"י הרשת. העמודה ENC מייצגת את אלגוריתם ההצפנה המשמש את הרשת, זהו כמובן השדה החשוב ביותר שעלינו לבדוק לפני ביצוע הפריצה לWiFi, בפלט הספציפי הזה ניתן לראות שמרבית הרשתות בסביבה משתמשות בהצפנה הנפוצה והטובה ביותר במרבית הנתבים – WPA2, מלבד אחת (אותה יצרנו עבור התרגול) שמשתמשת בWPA. העמודה CIPER מייצגת את פרוטוקול ההצפנה המשמשת את אלגוריתם ההצפנה שראינו בעמודה קודמת, במקרה שלנו אנו רואים שרובן ככולן של הרשתות משתמשות בCCMP. העמודה הבאה, עמודת הAUTH מייצגת את שיטת האימות בה משתמשת הרשת, גם במקרה הזה ניתן לראות שמרבית הרשתות משתמשות בPSK ולא בEnterprise (עוד על PSK וEnterprise בפסקה האחרונה של המדריך) והעמודה האחרונה, עמודת הESSID מכילה כמו שכבר ודאי הבנתם את שם הרשת. להלן סיכום קצרצר של העמודות:

      שם העמודה מה היא מייצגת
      BSSID מייצגת את כתובת הMAC של נקודת הגישה
      PWR מייצגת את עוצמת האות של הרשת, כפי שנקלטת במתאם האלחוטי
      Beacons מייצגת את הודעות הBrodcast שנשלחות ע"י הרשתות השונות להודיע על קיומן
      DATA# מייצגת את מספר החבילות שהגיעו מהרשת וairodump-ng הצליח לרחרחן אחריהן
      s/# פעולה זהה לDATA#, אלא שמייצגת את מספר החבילות שהגיעו רק בעשר השניות האחרונות
      CH מייצגת את הערוץ בו פועלת הרשת
      MB מייצגת את המהירות המרבית הנתמכת ע"י הרשת
      ENC מייצגת את אלגוריתם ההצפנה המשמש את הרשת
      CIPER מייצגת את פרוטוקול ההצפנה המשמש את האלגוריתם
      AUTH מייצגת את שיטת האימות בה משתמשת הרשת
      ESSID מייצגת את שם הרשת
      חשוב לציין שאם הרשת שאנו מעוניינים לתקוף עובדת בתדר של 5Ghz, נצטרך להוסיף לפקודה הסטנדרטית של airodump-ng את הארגומנט band– ולאחריו a. כך: airodump-ng –band a wlan0

      לאחר שלמדנו את משמעות הפלט שמחזיר לנו airodump-ng, נלמד כיצד אנו יכולים לרחרח אחר רשת ספציפית (זה הרי מה שמעניין אותנו. לרחרח אחר הרשת אותה אנו רוצים לפרוץ) ונלמד על משמעות עוד חלק בפלט שחוזר לנו.

      עבור הפעלת הרחרוח של airodump-ng על רשת ספציפית, נשתמש בפקודת הרחרוח בתבנית הבאה:

      airodump-ng –bssid [bssid address] –channel [channel number] wlan0

      כלומר, אם נרצה לרחרח אחר הרשת IL_ONE, נכתוב כך:

      airodump-ng --bssid 6A:B6:D2:E9:C7:17 --channel 6 wlan0

      ע"מ לשמור את החבילות שairodump-ng קלט בתוך קובץ, ניתן להוסיף לפקודה את הארגומנט write– ושם הקובץ, לדוגמא:

      airodump-ng --bssid 6A:B6:D2:E9:C7:17 --channel 6 --write summary wlan0

      ואכן, airodump-ng מבצע את הסריקה על הרשת הספציפית הזו:
      85a2ba6d-a144-405d-8be0-166b045bc798-image.png
      עכשיו, בואו נדבר על החלק התחתון של פלט הסריקה, חלק שלא התייחסנו אליו בסריקה הכללית. בפלט זה airodump-ng מציג לנו את המכשירים הספציפיים שמחוברים לרשת הספציפית וכמות החבילות שהם מעבירים לאותה רשת. לצורך הדוגמא, בפלט שבצילום המסך שמעל פסקה זו אנו רואים שלרשת בעלת הכתובת 6A:BA:D2:E9:C7:17, מחובר המכשיר בעל כתובת הMAC שמתחילה ב4C:EB:BD.

      איתור שמותיהן של רשתות נסתרות

      בכל נתב מודרני קיימת פונקציה בסיסית המאפשרת למנהל הרשת להגדיר שהרשת תהיה נסתרת, כלומר – ששמה לא יופיע וע"מ שבכלל יהיה ניתן להגיע למצב שניתן להתחבר אליה עם סיסמא, יהיה על המשתמש קודם-כל לדעת מה השם שלה. רשת זו תופיע ברשימת הרשתות שלכם כhidden network:
      4bdbc150-ec22-454b-9e03-e4bb48dc1ca2-image.png
      ע"מ שנוכל לפרוץ לרשת שהיא Hidden עם מגוון הטכניקות שנציג במהלך המדריך, אנו צריכים קודם-כל לדעת מה השם שלה. עבור כך, נשתמש בכלי הנהדר aireplay-ng ובמתקפת Deauthentication Attack שהוא מאפשר לבצע.

      Deauthentication Attack

      Deauthentication Attack זוהי מתקפה במסגרתה אנו מנתקים מחשב ספציפי, מרוחק, מגישה לאינטרנט, בעזרת Mac Spoofing והתחזות למכשיר. במסגרת מתקפה זו, אנו משנים את כתובת הMAC שלנו לכתובת הMAC של המכשיר הנתקף ופונים 'בשמו' לנתב בבקשה לנתק אותנו מהאינטרנט. הנתב, שלא יודע שמאחורי כתובת הMAC הזו עומד מעשה זיוף, מנתק את המכשיר. עבור ביצוע המתקפה, נשתמש בכלי aireplay-ng שיבצע אותה באופן אוטומטי.

      ראשית-כל, אנו צריכים למצוא את כתובת הMAC של המכשיר הנתקף ואת כתובת הMAC של הBSSID שלו. עבור כך, נשתמש בairodump-ng ובחלק התחתון של הפלט שהוא מבצע, שם כזכור – אנו יכולים לראות את כתובת הMAC של המכשיר שהתחבר לנקודת גישה מסוימת ואת כתובת הMAC של אותה נקודת גישה.

      לאחר מכן, נשתמש בaireplay-ng ובפקודה הבאה:

      aireplay-ng --deauth 20000000 -a MAC:ADDRESS -c MAC:ADDRESS:SPOOF wlan0

      הסבר לפקודה: deauth– מבטא את סוג המתקפה (Deauthentication). 2000000 את מספר החבילות עם בקשת ההתנתקות שנשלח לנתב (אתם יכולים לבחור איזה מספר שאתם רוצים, בחרתי מספר גבוה ע"מ שהפעולה תימשך לאורך זמן). תחת a- אנו כותבים את כתובת הBSSID של הנתב ותחת c- אנו כותבים את כתובת הMac Address של המכשיר אותו אנו רוצים לתקוף. לאחר מכן, אנו כותבים את שם הממשק של המתאם האלחוטי שלנו. כעת aireplay-ng יישלח כל העת חבילות התנתקות לBSSID מטעם המחשב שלנו והוא ינותק תוך מאיית השנייה.
      db21e680-a887-4984-a60f-b4f5d3e262a8-image.png
      כעת אם ננסה לגלוש באינטרנט באותו מכשיר ניתקל בהודעת השגיאה הבאה:
      3535a80c-cc92-4dde-9e29-9feebb3d612e-image.png
      כיצד נוכל להשתמש ביכולת של aireplay-ng ע"מ לאתר את שמה של הרשת הנסתרת? הפעם היחידה ששם הרשת נשלח ללא הצפנה, הוא בעת חיבור של המכשיר הנתקף לרשת הנסתרת שלו. ממילא, אם ננתק את המכשיר מחיבור לרשת בעזרת aireplay-ng, נוכל להשתמש בעובדה שהמכשיר ככל הנראה יבצע התחברות אוטומטית לרשת שלו בחזרה מיד לאחר הניתוק. נבצע אם-כן, תוך כדי המתקפה, רחרוח אחר הנתונים בעזרת airodump-ng ונוכל לאתר בקלות את שם הרשת. הנה, לדוגמא, כאן, יצרתי רשת חדשה, רשת נסתרת. הנה היא בפלט של airodump-ng:
      b004a1f1-7862-4322-9f82-8654a5535ed4-image.png
      נבצע לה סריקה ספציפית כפי שלמדנו בפסקאות הקודמות, ע"מ שיהיה בידינו את כתובת הMAC של המכונה הווירטואלית שמחוברת לרשת הזו (כלפיה נבצע את מתקפת הDeautentication):

      airodump-ng --bssid 6A:B6:D2:E9:C7:17 --channel 6 wlan0

      שימו לב שעד כה airodump-ng לא מצליח לזהות את שם החבילה (במקום השם מופיע לנו length: 6):
      99822f7a-0e93-4c4f-87e0-6a14b0c7e047-image.png
      כעת, ננתק את המכונה הווירטואלית שלנו מהרשת, בעזרת מימוש מתקפת Deauthentication עם aireplay-ng, כאשר הפעם נשלח לנתב שלוש חבילות בלבד, שכן זה יספיק ע"מ לנתק את המכונה מהרשת וממילא לגרום להתחברותה מחדש ולחשיפת שם הרשת:

      aireplay-ng --deauth 3 -a MAC:ADDRESS -c MAC:ADDRESS:SPOOF wlan0

      ואכן, airodump-ng הצליח לאתר את החבילה עם שם הרשת (ושמה כפי שניתן לראות הוא IL_TWO):
      3a61ab2d-fce8-4590-ba4e-945c6148143a-image.png
      אגב, פעמים רבות לא נצטרך לבצע את תהליך הניתוק של מכשירים מהרשת, אלא פשוט נבצע סריקה עם airodump-ng, אם יש תעבורה סטנדרטית ברשת, סביר לומר שתוך דקות ספורות שם הרשת ייחשף לנו.

      התגברות על MAC Filtering

      דרך נוספת שמנהלי רשת נוקטים בה ע"מ להקשות על תוקפים היא סינון גישה לרשת ע"פ כתובות הMAC של המכשירים. כלומר: רק מכשירים בעלי כתובות MAC מסוימות יכולים לגשת לרשת (הגדרה של מי כן יכול לגשת לרשת, whitelist) / מכשירים בעלי כתובות MAC מסוימות לא יכולים לגשת לרשת (הגדרה של מי לא יכול לגשת לרשת, blacklist). שוב, גם כאן, ע"מ שבכלל נוכל להיכנס לרשת, גם אם יש בידינו את הסיסמא, אנו צריכים קודם-לכן להיות עם כתובת MAC זהה לאחת מכתובות הMAC שהותרו במקרה של withlist ובמקרה של blacklist לא להיות עם כתובת MAC זהה לאחת מכתובות הMAC שנחסמו.

      עבור התגברות על MAC Filtering, נלמד כיצד אנו יכולים ל'החליף' את כתובת הMAC שלנו. כתובת הMAC כמובן מוטבעת במכשיר שלנו ואנו לא נוכל לשנות לחלוטין את הכתובת, אלא רק להתחזות לכתובת MAC אחרת.

      ראשית, נראה מהי כתובת הMAC הנוכחית שלנו בעזרת הפקודה ifconfig (הכתובת תופיע לצד ether):

      כעת, נריץ את הפקודות הבאות (שימו לב שבפקודה מס' 2, תוכלו להזין איזו כתובת MAC שאתם רוצים):

      נכבה את כרטיס הרשת בעזרת הפקודה: ifconfig eth0 down
נשנה את כתובת הMAC לכתובת שנרצה בעזרת הפקודה: ifconfig eth0 hw ether 00:11:22:33:44:55
נדליק בחזרה את כרטיס הרשת בעזרת הפקודה: ifconfig eth0 up

      כעת, אם נריץ שוב את הפקודה ifconfig, נוכל לראות שאכן כתובת הMAC שלנו השתנתה:

      ממילא, על מקרה של סינון כתובות MAC בעזרת blacklist נוכל להתגבר בקלות בעזרת שינוי כתובת הMAC שלנו. מה נעשה במקרה של סינון בעזרת withlist? כיצד נוכל לאתר את אחת מכתובות הMAC המותרות?

      גם-כאן, הפעולה פשוטה למדיי. נבצע האזנה ספציפית לתעבורה בעזרת airodump-ng לBSSID של הרשת המדוברת. ברגע שאחד המכשירים המותרים יתחבר לרשת, נוכל כזכור לראות בחלק התחתון של הפלט את כתובת הMAC שלו. נעתיק אותה, והפעם, נשנה את כתובת הMAC בעזרת הפקודה שראינו למעלה לכתובת הספציפית הזו.
      פריצת WEP (ר"ת של Wired Equivalent Privacy)

      הפרוטוקול הראשון שפותח להצפנת תעבורת הWiFi הינו WEP (ר"ת של Wired Equivalent Privacy) שמבוסס על אלגוריתם ההצפנה RC4 של חברת RSA, אלגוריתם הצפנה שבעבר היה מאד פופולארי ואף שימש לאבטחת אתרי האינטרנט במסגרת פרוטוקול SSL. בשל חורי אבטחה רבים שנמצאו בו ועליהם נפרט בפסקה הבאה, WEP כמעט ואינו בשימוש כיום והסיכויים שתפגשו בו במסגרת בדיקת חוסן שואפים לאפס, אך בכל זאת, כדאי, לכל מצב שלא יהיה, להכיר את כל טכניקות פריצת הWiFi האפשריות, כולל כאלה שהסיכויים שנצטרך להשתמש בהם נמוכים מאד ועל כן אציג גם אותו.
      דה-מרקר מדווח ב2007 על חלק מהחולשות שנמצאו בWEP

      ע"מ להבין כיצד WEP עובד, נכיר קודם-לכן את צורת העבודה של אלגוריתם ההצפנה RC4. פרוטוקול זה משתמש בשיטת ההצפנה הסימטרית (המפתח שמצפין הוא המפתח שמפענח) ויוצר מפתח פסאודו רנדומלי. בעת שליחת מידע, מהמחשב שלנו לנתב, נשלח את המידע מוצפן עם אותו key (בעזרת ביצוע פעולת XOR על המידע) והנתב יפענח אותו גם-כן בעזרת הkey (בעזרת ביצוע פעולת XOR הפוכה). אלא שע"מ להגביר את האבטחה של הפרוטוקול ולמנוע מימוש של מתקפות גילוי שונות עליהן נדבר בהמשך המדריך, מצרף WEP לkey שנשלח בכל חבילת מידע תוספת שנקראת IV (ר"ת של Initialization vector) באורך של 24 סיביות (בכל חבילה, יצורף iv שונה לkey). ע"מ לפענח את המידע, הנתב יצטרף להוסיף למפתח הסודי המקורי את הIV וליצור keystream בו יוכל להשתמש.

      נשמע מאובטח? זהו שלא. כאמור, הIV הינה מחרוזת באורך של 24 ביטים בלבד (שאגב מיוצגים אך ורק ע"י 3 תווי ASCII), כך שברשת ביתית פעילה שמעבירה מאות אלפי חבילות בזמן קצר נצטרך שוב ושוב לחזור על אותו IV (סך כל האפשרויות של הIV הן 2 בחזקת 24, מה שאומר שע"פ פרדוקס היום הולדת הסיכויים לראות כמה חבילות מידע עם אותו IV גדולים מ50%), מה שיגרום למצב שאותו ערך IV הוא יופיע שוב ושוב כתוספת למפתח ההצפנה (מה שיאפשר לנו לזהות אותו בקלות, שכן כאמור הוא מאד קצר). אם-כן, אם אין לנו כבר את יתרון 'החד פעמיות' של הIV, אנו נשארים אך ורק עם מפתח ההצפנה הקבוע ובשל היותו מפתח שאינו משתנה, גם אותו נוכל לפצח בעזרת מתקפות סטטיסטיות-מתמטיות שונות שמתבוססות על זיהוי הIV.

      עבור ביצוע המתקפה, נשתמש בכלי airodump-ng אותו כבר הכרנו ללכידת הנתונים ובכלי נוסף בשם aircrack-ng לביצוע הפיצוח של ערך הIV והסיסמא. שימו לב ששיטת פריצה זו רלוונטית אך ורק אם מדובר ברשת לה מחוברים מספר גדול של מחשבים והיא מעבירה מאות אלפי חבילות מידע. רשת ביתית עם 4-5 מכשירים שמחוברים לה אמורה להיות אחת כזו.

      ראשית, נבצע לכידה של הנתונים ברשת אותה אנו רוצים לתקוף. במעבדת ההדגמה שיצרתי זו הרשת IL_ONE שהוצגה לנו בפלט הרשתות לאחר הזנת הפקודה airodump-ng wlan0. נבצע רחרוח ספציפי כלפיה כפי שלמדנו בעזרת ציון ערך הbssid שלה, הערוץ בו היא משדרת ושם ממשק הרשת של כרטיס הרשת שלנו, הכרטיס המרחרח. את המידע נכתוב לתוך קובץ בשם wep_crack, בעזרת הפרמטר write–:

      airodump-ng --bssid 6A:B6:D2:E9:C7:17 --channel 6 --write wep_crack wlan0

      נמתין מספר דקות עד שיוסנפו מספר גדול של חבילות מידע (סביב ה180,000) ולאחר מכן ניקח את הקובץ wep_crack.cap שנוצר לנו (נוכל לראות אותו בעזרת ls) ונעביר אותו כארגומנט לכלי aircrack-ng:

      aircrack-ng wep_crack-01.cap

      אם ביצענו הכל כשורה, לאחר מספר שניות תופיע לנו הסיסמא כאשר כל 2 תווים מופרדים בעזרת נקודותיים (:).

      מה נעשה במקרים בהם אנו רוצים לפרוץ לרשת בשעה שאין בה פעילות משמעותית שתגרום לחזרה על ערכי הIV?

      במקרים כאלה, נצטרך למצוא פתרונות שיגרמו לרשת לייצר חבילות מידע וממילא לייצר עוד ועוד IV. ישנם מספר מתקפות שנועדו לגרום לרשת לבצע זאת ואני אציג חלק מהן. המתקפה הראשונה שנכיר היא ARP Request Replay.

      ARP Request Replay

      בעת חיבור לרשת, ישנם שני שלבים. השלב הראשון הוא שליחת הבקשה לaccess point בבקשה לתקשר איתנו. שלב זה זהה למעשה למקרה שאנו לוחצים על רשת כלשהי בתפריט הרשתות הזמינות לנו, גם ללא הזנת סיסמא. אנו לא נהיה מחוברים לרשת, אך גרמנו לרשת להכיר אותנו. השלב השני הוא כמובן הזנת הסיסמא וההתחברות עצמה לרשת.

      בעת ביצוע ARP Request Replay, אנו נפנה לרשת עם השלב הראשון – הבקשה לתקשר. ונמתין ללכידת חבילת ARP כלשהי שתישלח מהרשת. ברגע שנאתר כזו, נשלח אותה בחזרה לרשת, מה שיגרום לaccess point ליצור חבילה נוספת עם מזהה IV אחר (שכן רשתות אלחוטיות מחזירות חבילות ARP שנשלחות ברשת). גם את החבילה הנוספת שהaccess point ישלח נלכוד ונשלח גם אותה שוב אליו, מה שיגרום שוב לAP ליצור חבילה נוספת וכן על זה הדרך, עד שיווצרו מספיק חבילות עבור פיצוח WAP (לרוב הפעולה תארך שניות בודדות).

      עבור ביצוע המתקפה, נשתמש בכלי aireplay-ng אותו כבר הכרנו במסגרת מתקפת Deauthentication Attack.

      נציג את הפקודה ולאחר מכן נסביר אותה:

      aireplay-ng --arpreplay -b 6A:B6:D2:E9:C7:17 -h B6:1E:B9:05:BE:FD wlan0

      סבר לפקודה: לאחר ציון שם הכלי, אנו מציינים את סוג המתקפה שאנו רוצים לבצע באמצעותו – arpreplay. וכעת, לאחר b- אנו מזינים את ערך הBSSID של הרשת הנתקפת ותחת h- אנו מציינים את כתובת הMAC של כרטיס הרשת שלנו (נוכל לראות אותה כזכור בעזרת ifconfig [לא iwconfig], אלא שבזמן שכרטיס הרשת שלנו במצב monitor הכתובת תופיע כרצף של 16 זוגות תווים מופרדים בעזרת (-), נעתיק את ששת הזוגות הראשונים ונפריד בניהם באמצעות (:)). בסיום הפקודה אנו פשוט מזינים את שם ממשק הרשת. להלן דוגמא לצורת הפריסה של כתובת הMAC כשאנו במצב Monitor, במקרה הזה כאמור הכתובת תהיה B6:1E:B9:05:BE:FD.

      בד-בבד, נבצע שתי פעולות נוספות:

      א'. פנייה לרשת הנתקפת עם השלב הראשון בתהליך התחברות לרשת: שליחת בקשה לAccess point לניהול תקשורת מולו, השלב שמקדים להזנת הסיסמא והתחברות לרשת. נעשה זאת במטרה לאפשר את קבלת בקשות הARP שנשלחות מהנתב. עבור כך נשתמש בaireplay-ng עם הארגומנט fakeauth– ולאחריו כמות הפעמים שנשלח את הבקשה (וממילא הזמן בו יהיה ניתן ללכוד בקשות ARP) כאשר הספרה 0 מבטאת פעם אחת, כתובת הMAC של הbssid, כתובת הMAC של כרטיס הרשת שלנו ושם ממשק הרשת (שליחת פייק בקשה ליצירת תקשורת, שכן אין לנו באמת מטרה להזין את הסיסמא, אלא לפרוץ לרשת. אגב, מתקפה זו (Fakeauth) לא רלוונטית בWPA:

      aireplay-ng --fakeauth 0 -a 6A:B6:D2:E9:C7:17 -h B6:1E:B9:05:BE:FD wlan0

      אם נקבל successful, הרי שהמתקפה בוצעה בהצלחה. אגב, בחלק ממתאמי הרשת ישנה בעיה מובנית במסגרתה הם ישתמשו בערוץ ברירת המחדל שמוגדר לכרטיס ובמידה והוא לא זהה לערוץ ברירת המחדל של הSSID שאנו רוצים לתקוף, הרי שהמתקפה לא תצליח וניתקל בשגיאה הבאה:
      8f0f82fa-3e2d-4acb-8245-64deab540632-image.png

      ע"מ לפתור זאת, השתמשו בפקודה הבאה: airmon-ng start wlan0 6 (במקום 6 ציינו את מספר הערוץ הרלוונטי).

      ב'. האזנה ספציפית לרשת הנתקפת באמצעות airodump-ng כפי שכבר ביצענו מספר פעמים. גם במקרה הזה נבצע כתיבה של הנתונים לקובץ ע"מ שנוכל לפצח לאחר מכן את הסיסמא עם aircrack-ng:

      airodump-ng --bssid 6A:B6:D2:E9:C7:17 --channel 6 --write wep_crack_two wlan0

      כעת נשתמש בaircrak-ng עם קובץ הcap שמכיל את החבילות מהסריקה האחרונה (שוב, נמתין שערך הData יגיע לסביבות ה180,000 חבילות) ונקבל את הסיסמא:

      aircrack-ng wep_crack_two-01.cap

      חשוב לציין ששיטה זו רלוונטית בין אם הרשת משתמשת בWEP-64 (מפתח סודי באורך 40 ביטים + IV של 24 ביטים) או בWEP-128 (מפתח סודי באורך 104 ביטים + IV של 24 ביטים), אלא שזמן הפענוח של WEP-128 יהיה מעט ארוך יותר.

      כמו-כן, לWEP ניצולים נוספים ידועים כגון chopchop attack וFragmentation Attack, אך בשל העובדה שכאמור, הסיכויים שתיתקלו בפרוטוקול זה במהלך מבדק חדירה שואפים לאפס, לא ראיתי צורך להציג אותן.

      המשך יבוא
      קרדיט

      1 Reply Last reply Reply Quote 8
      • First post
        Last post